Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a Apache Traffic Server, que permitirían a un atacante realizar omisión de autenticación y provocar denegación de servicio (DoS) en el sistema afectado.
Las vulnerabilidades reportadas se componen de 2 (dos) sin severidades asignadas aún. Las mismas se detallan a continuación:
- CVE-2023-33934, sin severidad ni puntuación asignada aún. Esta vulnerabilidad se debe a una falla de validación de datos de entradas por parte de un usuario en Apache Traffic Server. Esto permitiría a un atacante remoto realizar omisión de autenticación, obtener acceso no autorizado y provocar ataques de cache poison en el sistema afectado.
- CVE-2022-47185, sin severidad ni puntuación asignada aún. Esta vulnerabilidad se debe a una falla de validación de datos de entradas por parte de un usuario en Apache Traffic Server. Esto permitiría a un atacante remoto a través del envío de una solicitud específicamente diseñada al servidor, provocar un ataque de denegación de servicio (DoS) en el sistema afectado.
Los productos afectados son:
- Apache Traffic Server, versión 8.0.0 a 8.1.7.
- Apache Traffic Server, versión 9.0.0 a 9.2.1.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:
Referencias:
- https://securityonline.info/a-twin-threat-to-apache-traffic-server-cve-2022-47185-and-cve-2023-33934-flaws/
- https://nvd.nist.gov/vuln/detail/CVE-2023-33934
- https://nvd.nist.gov/vuln/detail/CVE-2022-47185
- https://lists.apache.org/thread/jsl6dfdgs1mjjo1mbtyflyjr7xftswhc
- https://trafficserver.apache.org/downloads